REvil发起大规模供应链攻击，数百家公司受到影响-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

每周安全速递³⁵⁷ | 研究人员披露DireWolf勒索组织

2025-09-08

每周安全速递³⁵⁶ | Anthropic阻止AI驱动勒索攻击

2025-09-01

每周安全速递³⁵⁵ | Crypto24勒索软件研发定制EDR规避工具

2025-08-25

每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门

2025-08-25

CNVD漏洞周报2025年第29期

2025-08-11

REvil发起大规模供应链攻击，数百家公司受到影响

发布时间：2021-07-05 阅读次数： 207 次

2021年7月2日，总部位于迈阿密的 Kaseya公司发布声明，确认其下产品 KASEYA VSA 软件存在漏洞，已被 REvil 黑客勒索组织利用攻击，目前已经关闭了其 SaaS 服务器，并且建议所有客户关闭 VSA 服务器。

Kaseya 为托管服务提供商（MSP）提供远程管理软件服务，已知受影响的托管服务提供商包括 Synnex Corp. 和 Avtex LLC，由于 MSP 提供商的客户分布全球，导致此次事件影响范围颇广，目前瑞典最大连锁超市之一的 Coop 受此次供应链勒索攻击事件影响被迫关闭全国约800多家商店服务。

事件分析

Kaseya 公司是一家深受 MSP 欢迎的远程管理提供商，提供自动化软件和远程管理软件，该公司宣称拥有超40,000的用户，其下产品 Kaseya VSA 是一款远程监控和管理软件工具，是 MSP 常用的解决方案之一，可以帮助管理客户端系统，并且具有客户端系统的管理员权限。

当前 Kaseya 官网对该事件进行了实时报道，并与相关计算机事件响应公司积极配合，其对外宣布已正确识别并缓解了漏洞。

根据现有情报，可以总结出 REvil 组织总体的攻击流程，首先通过 Kaseya VSA 中的零日漏洞进行入侵，随后立即停止管理员对 VSA 的访问，然后添加一个名为“Kaseya VSA Agent Hot-fix" 的任务，该虚假恶意更新会部署到整个攻击环节中，包括在拥有 MSP 客户端的客户系统中，利用虚假恶意更新投递 REvil 勒索软件，该更新利用高权限进行自动安装。

病毒情况

REvil勒索家族首次出现于2019年4月底。在REvil勒索家族活动的初期，曾通过漏洞利用的手法来进行攻击，被披露的漏洞利用包括Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞（CVE-2019-2725）等。或许是漏洞利用的目标范围较小，攻击过程较为复杂，从2019年7月份开始，该勒索病毒的攻击手法逐渐演变成较为迅速的RDP爆破。

主要攻击过程为，先使用扫描爆破等方式，获取到内网中一台较为薄弱的主机权限，再上传黑客工具包对内网进行扫描爆破或密码抓取，选择重要的服务器和PC进行加密。如今更是采用了供应链攻击的手法，可谓一台失陷，全网遭殃。

美创安全实验室第一时间拿到相关病毒样本，经分析发现，REvil勒索家族采用 RSA+salsa20 算法加密文件。加密后，使得文件无法再打开，并将由字母或数字组成的文件扩展名附加到每个加密文件中，并在桌面上留下勒索信息文件，提示受害者如何缴纳赎金获取解密工具。